Zscaler Announces Intent to Acquire Airgap Networks to extend Zero Trust SASE

Learn More

Qu’est-ce que Cloud DLP (protection contre la perte de données) ?

La protection contre la perte de données (DLP) dans le cloud est une catégorie de technologies et de processus de sécurité des données qui surveillent et inspectent les données sur un réseau d’entreprise pour empêcher l’exfiltration de données provenant de cyberattaques telles que le phishing, les ransomwares et les menaces internes malveillantes. Déployé depuis le cloud, Cloud DLP peut protéger les données sensibles telles que les informations personnelles identifiables (PII), les numéros de carte de crédit, la propriété intellectuelle, etc., où qu’elles se trouvent ou circulent.

DLP
Regarder

Pourquoi Cloud DLP est-il important ?

À l’époque où les informations sensibles étaient imprimées sur papier, la prévention des pertes pouvait être aussi simple qu’une armoire verrouillée. Désormais, les données circulent entre les data centers, les fournisseurs de cloud et les terminaux, potentiellement exposés à une multitude de vulnérabilités en chemin. Pour le protéger contre tout accès non autorisé, vous devez mettre en œuvre une stratégie complète de protection contre la perte de données (DLP).

Votre stratégie DLP doit amener les dirigeants et les responsables informatiques à déterminer ensemble quelles données peuvent être qualifiées de « sensibles » pour votre entreprise, convenir de la manière dont ces données doivent être utilisées et définir ce qu’est une violation. Ces lignes directrices en matière de sécurité des informations, dont notamment la classification des données, la confidentialité des données et les informations de conformité, tout comme les procédures de remédiation, peuvent ensuite être traduites en politiques de DLP.

Diverses normes de conformité (par exemple, RGPD, HIPAA, PCI DSS) peuvent exiger que votre organisation déploie la DLP pour éviter des amendes ou des restrictions de vos activités, mais les violations de données peuvent également exposer les données personnelles des utilisateurs finaux, exposant ainsi votre entreprise au risque de perdre des clients de subir des dommages à la marque ou faire face à des conséquences juridiques. Grâce à une politique DLP bien définie, renforcée par une technologie de soutien bien gérée, vous pouvez considérablement réduire ces risques.

Avantages de la protection contre la perte de données dans le cloud

La DLP basée sur le cloud offre plusieurs avantages à toute entreprise, à savoir :

  • une évolutivité flexiblepour répondre aux besoins de volumes de données croissants et d’écosystèmes d’informations changeants
  • Diminuer les coûts d’infrastructureen éliminant le matériel sur site et les dépenses de modernisation/maintenance qui y sont liées
  • Protection des utilisateurs et des filiales où qu’ils se trouvent sans devoir procéder à un backhauling vers votre data center
  • Déploiement et configuration plus rapides que le DLP sur site, sans aucun boîtier à gérer
  • Mises à jour automatiques depuis le cloud, fournissant les dernières informations et nouvelles fonctionnalités sans temps d’arrêt

Une étude réalisée en 2022 par Zscaler ThreatLabz a révélé que 36 % des données des applications cloud sont partagées via des liens accessibles au public.

Techniques de la protection contre la perte de données dans le cloud

En termes simples, la technologie DLP, y compris la DLP basée sur le cloud, fonctionne en identifiant les données sensibles vulnérable, puis en les protégeant. Une solution DLP peut être conçue pour identifier les données en cours d’utilisation, les données en mouvement ou les données au repos (ou n’importe quelle combinaison) et déterminer si elles sont sensibles. Pour ce faire, les agents DLP peuvent faire appel à de nombreuses techniques différentes, telles que :

  • Correspondance basée sur des règles ou « expressions régulières » : cette technique courante identifie les données sensibles sur la base de règles pré-écrites (par exemple, les nombres à 16 chiffres sont souvent des numéros de carte de crédit). En raison d’un taux élevé de faux positifs, la correspondance basée sur des règles n’est souvent qu’un premier passage avant une inspection plus poussée.
  • Correspondance exacte des données (empreinte de base de données) : cette technique identifie les données qui sont strictement identiques à d’autres données sensibles dont l’empreinte a déjà été prise, généralement à partir d’une base de données fournie.
  • Correspondance exacte de fichiers : cette technique fonctionne globalement comme la correspondance exacte de données, si ce n’est qu’elle identifie les hachages de fichiers correspondants sans analyser le contenu du fichier.
  • Correspondance partielle de documents : cette technique permet d’identifier les données sensibles en les faisant correspondre à des modèles établis (par exemple, le format d’un formulaire standard pour chaque patient dans un centre de soins d’urgence).
  • Apprentissage automatique, analyse statistique, etc. : cette famille de techniques repose sur l’alimentation d’un modèle d’apprentissage avec un grand volume de données afin de « l’entraîner » à reconnaître les cas où une chaîne de données particulière est susceptible d’être sensible. Cette technique est particulièrement utile pour identifier les données non structurées.
  • Règles personnalisées : de nombreuses entreprises doivent identifier et protéger des types de données uniques, et la plupart des solutions de DLP modernes leur permettent d’élaborer leurs propres règles qui s’exécutent parallèlement aux autres.

Une fois les données sensibles identifiées, il appartient à votre politique de DLP de déterminer la manière de les protéger. Par ailleurs, la façon dont vous allez les protéger est étroitement liée à la raison pour laquelle vous devez les protéger.

Principaux cas d’utilisation de Cloud DLP

Comme nous l’avons déjà évoqué, la sécurisation des données protège votre entreprise contre d’autres formes de perte (de clients, de chiffre d’affaires, de réputation) et vous aide à rester en conformité avec les réglementations sectorielles et légales. Pour protéger ces données, il faut naturellement être en mesure d’identifier leur nature et leur emplacement, ce qui constitue un autre cas d’usage clé : la visibilité des données.

En résumé, les principaux cas d’utilisation d’une solution DLP sont les suivants :

  • Protection des données sensibles en mouvement et au repos : la DLP protège les données lorsqu’elles se déplacent entre plusieurs terminaux, réseaux et clouds ou qu’elles y sont stockées, en assurant un chiffrement, en appliquant des contrôles d’accès et en surveillant les activités suspectes.
  • Rester conforme aux réglementations : les politiques et technologies DLP vous aident à appliquer des contrôles d’accès, à surveiller l’utilisation et à mener des audits pour garantir que vous traitez les données sensibles conformément aux réglementations telles que le RGPD, l’HIPAA et la PCI DSS.
  • Acquérir de la visibilité sur vos données : la DLP apporte de la visibilité sur les données (un aperçu de l’endroit où résident et circulent les informations sensibles, sur les personnes qui y ont accès et sur la manière dont elles sont utilisées) pour vous aider à identifier les vulnérabilités, à détecter les activités à risque et, en fin de compte, à remédier les violations de données et à y mettre fin.

5 types de solutions Cloud DLP

Parce qu’aucune technologie ne peut à elle seule couvrir tous les cas d’utilisation ou prendre en compte toutes les façons dont les données peuvent être perdues, les offres de protection des données actuelles efficaces intègrent plusieurs fonctions. Examinons certaines des technologies cloud DLP les plus courantes et les plus essentielles.

  1. Les CASB (cloud access security brokers) surveillent et contrôlent l’activité des utilisateurs et les transferts de données entre les endpoints et les applications cloud, en appliquant des politiques de sécurité pour empêcher les accès non autorisés, les fuites de données et les manquements à la conformité. Le CASB procure une visibilité sur le comportement des utilisateurs, l’utilisation des applications et le stockage des données dans les environnements cloud.
  2. Le logiciel DLP protège les données sensibles contre les fuites de données sur les endpoints, la messagerie électronique, les services cloud et d’autres canaux. En surveillant les données et en appliquant les politiques en temps réel, le logiciel DLP identifie et prévient les violations potentielles.
  3. L’analyse du comportement des utilisateurs et des entités (UEBA) surveille, analyse et corrèle le comportement des utilisateurs, les modèles d’accès, les événements système, etc. afin de détecter les anomalies et les menaces potentielles, telles que les menaces internes malveillantes, les comptes compromis et les déplacements latéraux.
  4. La gestion de la posture de sécurité SaaS (SSPM) aide les organisations à évaluer et à gérer les configurations de sécurité, les autorisations et les vulnérabilités dans différentes applications SaaS afin de combler les failles de sécurité et d’atténuer les risques associés à l’exposition des données et aux accès non autorisés.
  5. L’isolation du navigateur exécute le contenu Web dans un environnement sécurisé, empêchant le contenu Web potentiellement malveillant (par exemple, téléchargements à la volée, malwares, phishing) d’accéder directement ou d’affecter l’endpoint, le réseau ou les données sensibles de l’utilisateur.

Cloud DLP et le besoin de visibilité des données

La DLP ne peut pas empêcher la perte de données si elle ignore le trafic. Ceci est crucial alors que les organisations continuent de déplacer de plus en plus de données dans le cloud, où trois défis clés empêchent la DLP traditionnelle basée sur le réseau de voir le trafic qu’elle est censée inspecter :

  • Utilisateurs distants : avec la DLP de réseau, les niveaux de visibilité et de protection dépendent de l’endroit où se trouvent les utilisateurs. Ils peuvent facilement contourner l’inspection lorsqu’ils sont hors réseau, en se connectant directement aux applications cloud. Des politiques DLP et de sécurité efficaces doivent suivre les utilisateurs partout où ils se connectent et sur tous les appareils qu’ils utilisent.
  • Chiffrement : la croissance inouïe du trafic chiffré TLS/SSL a créé un angle mort important pour la DLP basée sur le réseau qui se trouve incapable de le déchiffrer pour le vérifier.
  • Limitations de performance : les solutions DLP basées sur des appliances disposent de ressources limitées, ce qui les empêche de s’adapter efficacement à l’inspection inline d’un trafic Internet en constante augmentation.

Cloud DLP dans un monde axé sur le cloud et le mobile

Pour relever les défis de protection des données qui accompagnent la transformation numérique et surmonter les faiblesses de la DLP d’entreprise traditionnelle, vous devez adopter une nouvelle approche et une nouvelle technologie. La reconfiguration d’une pile matérielle traditionnelle pour le cloud ne suffit pas : elle est inefficace et ne bénéficie pas de la protection et des services d’une solution DLP basée sur le cloud, notamment :

  • Une protection identique pour tous les utilisateurs sur ou hors réseau, assurant une protection complète des données à tous les utilisateurs, où qu’ils se trouvent : au siège, dans une filiale, dans un aéroport ou à domicile.
  • Une inspection native du trafic chiffré TLS/SSL, octroyant à l’entreprise une visibilité cruciale sur le trafic où se dissimulent plus de 85 % des attaques.
  • Une évolutivité élastique pour l’inspection inline, ce qui permet d’éviter la perte de données en inspectant tout le trafic à mesure qu’il arrive et en mettant en quarantaine les fichiers suspects ou inconnus, et non en se contentant de limiter les dégâts après une attaque.

Correspondance exacte des données pour Cloud DLP

Les solutions de protection contre la perte de données utilisent depuis longtemps la recherche de modèles pour identifier les numéros de carte de crédit, les numéros de sécurité sociale, etc. Cette technique manque toutefois de précision. Un trafic sécurisé peut toujours être bloqué simplement parce qu’il contient un modèle sélectionné pour la protection, saturant les équipes de sécurité de faux positifs.

La correspondance exacte des données (EDM) constitue une innovation de poids pour la technologie de DLP et permet d’augmenter la précision de la détection tout en éliminant pratiquement tous les faux positifs. Au lieu de faire correspondre des modèles, l’EDM prend l’empreinte des données sensibles, puis surveille les tentatives de déplacement de ces données afin d’empêcher qu’elles soient partagées ou transférées de manière inappropriée.

Bonnes pratiques de Cloud DLP

La stratégie de DLP idéale dépend des données de votre entreprise et de ses besoins. Les bonnes pratiques varient donc, mais ce sujet fait l’objet d’un article distinct. Nous examinerons ici quelques bonnes pratiques plus larges en matière de DLP qui s’appliquent à toutes les situations :

  • Commencez en mode « surveillance seule » afin de vous faire une idée du flux de données au sein de votre entreprise et de pouvoir définir les meilleures politiques.
  • Tenez les employés informés grâce aux notifications faites aux utilisateurs afin que les politiques ne soient pas exécutées à leur insu, car cela pourrait perturber les flux de travail et créer un sentiment de frustration.
  • Assurez-vous que vos utilisateurs peuvent soumettre des commentaires concernant les notifications (pour justifier leurs actions ou signaler des politiques non respectées), vous pourrez ensuite les utiliser pour affiner vos politiques.
  • Mettez à profit les mesures de classification avancées telles que l’EDM pour réduire les faux positifs.
  • Utilisez une solution capable de déchiffrer le trafic TLS/SSL chiffré, car la grande majorité du trafic Web est désormais chiffrée.

Dans son Cost of a Data Breach Report 2022 (rapport sur le coût d’une violation de données), le Ponemon Institute a établi ce qui suit :

  • Les violations de données ont coûté en moyenne 9,44 millions d’USD aux États-Unis et 4, 35 millions d’USD dans le monde, dont plus de 32 % en pertes d’activité.
  • Les entreprises ayant adopté une approche Zero Trust ont économisé en moyenne 1,51 million d’USD par violation par rapport aux autres.

Prise en main de Zscaler Cloud Data Loss Prevention

Avec l’augmentation des menaces et le nombre sans cesse croissant de réglementations liées à la protection des données, votre entreprise doit combler les failles de sécurité causées par le cloud et la mobilité, qu’elles proviennent de vulnérabilités ou d’erreurs de configuration.

Par le passé, cela aurait signifié ajouter des appliances supplémentaires à des piles déjà complexes. Il existe à présent Zscaler Data Loss Preventionentièrement fournie dans le cloud, qui fait partie de la suite Zscaler Data Protection. Zscaler DLP vous permet de combler vos lacunes en matière de protection des données, quel que soit l’endroit où se trouvent vos utilisateurs ou vos applications, tout en réduisant simultanément les coûts et la complexité informatiques.

Zscaler DLP fournit :

  • Une protection identique pour les utilisateurs et les données, où qu’ils se trouvent
  • Protection sur Internet, les terminaux, la messagerie électronique, les SaaS, les applications privées et la posture cloud
  • Inspection TLS/SSL évolutive assurée par le plus grand cloud de sécurité inline au monde
  • Flux de travail et opérations rationalisés grâce à une découverte innovante des données optimisée par l’AA

Transformez la façon dont vous découvrez et protégez les données avec Zscaler Data Loss Prevention. En savoir plus.

Votre outil DLP manque-t-il certaines pertes de données ? Découvrez-le avec Zscaler Security Preview.

Ressources suggérées

FAQs

En quoi consiste la DLP basée sur le cloud ?

La protection contre la perte de données (DLP) englobe une gamme de mesures et de pratiques de sécurité du cloud visant à protéger les données sensibles au sein d’un réseau d’entreprise ou dans le cloud. La DLP basée sur le cloud est simplement une DLP déployée à partir du cloud. En surveillant et en examinant continuellement les données, la DLP basée sur le cloud réduit le risque d’exfiltration de données résultant de cyberattaques telles que le phishing, les ransomwares et les menaces internes. La protection des données critiques, telles que les informations personnelles identifiables (PII), les détails des cartes de crédit et la propriété intellectuelle, est essentielle pour maintenir la conformité réglementaire, garantir la stabilité financière et préserver la confiance des clients.

Pourquoi Cloud DLP est-il important ?

Cloud DLP protège les données au repos, en mouvement ou en transit (ce qui est particulièrement courant à l’ère du cloud) contre tout accès non autorisé. En mettant en œuvre des politiques et une technologie DLP qui utilisent les dernières techniques de DLP, telles que la correspondance exacte des données et la découverte avancée des données, les entreprises peuvent plus facilement se conformer aux réglementations, prévenir les violations de données, éviter les amendes, préserver la confiance des clients et maintenir la réputation de leur marque.

Quels sont les principaux cas d’utilisation de Cloud DLP ?

Cloud DLP s’applique à trois cas d’utilisation principaux :

  • Protéger les données sensibles en mouvement et au repos : Cloud DLP protège les informations sensibles lorsqu’elles se déplacent entre plusieurs terminaux, réseaux et clouds ou qu’elles y sont stockées, en assurant un chiffrement, en appliquant des contrôles d’accès et en surveillant les activités suspectes.
  • Rester conforme aux réglementations : les politiques et technologies de Cloud DLP aident les entreprises à appliquer des contrôles d’accès, à surveiller l’utilisation et à mener des audits pour garantir qu’elles traitent les données sensibles conformément aux exigences réglementaires telles que le RGPD, l’HIPAA et la PCI DSS.
  • Acquérir de la visibilité sur vos données : Cloud DLP apporte de la visibilité sur les données (un aperçu de l’endroit où résident et circulent les informations sensibles, sur les personnes qui y ont accès et sur la manière dont elles sont utilisées) pour aider les entreprises à identifier les vulnérabilités et à détecter les activités à risque afin de remédier aux violations de données et à y mettre fin.

Quelle est la meilleure façon de prévenir la perte de données ?

La meilleure façon de prévenir la perte de données consiste à adopter une approche solide qui combine une sécurité appropriée, une sensibilisation des utilisateurs, des mesures DLP efficaces pour protéger les données en transit et au repos, ainsi que des sauvegardes régulières et des plans de récupération après incident.

  • La DLP aide à identifier, surveiller et protéger les données sensibles, en garantissant le respect des réglementations et en atténuant le risque d’accès non autorisé ou de violations de données.
  • La formation des utilisateurs met en avant l’importance de pratiques sûres de traitement des données, de mots de passe forts, de la sensibilisation au phishing et de la compréhension des politiques de sécurité des données.
  • Des sauvegardes et des plans de récupération de données permettent de garantir que les données ne sont pas définitivement perdues en cas d’incident.

Quelle est la différence entre Cloud DLP et le CASB ?

Les solutions Cloud DLP et CASB (Cloud Access Security Broker) se concentrent sur des domaines clés distincts. Cloud DLP sert principalement à surveiller et prévenir la fuite de données sensibles dans les environnements cloud, tandis que le CASB englobe la protection des données, la détection des menaces, le contrôle des accès et l’application des politiques dans les environnements cloud. Il s’agit de deux composantes complémentaires et essentielles de la sécurité du cloud.